一种支持安全监控的安全监控装置及方法

文档序号:7710949阅读:182来源:国知局
导航: X技术> 最新专利>电子通信装置的制造及其应用技术
专利名称:一种支持安全监控的安全监控装置及方法
技术领域
本发明涉及系统监控,具体来说,本发明涉及一种支持安全监控的安全监控装置 及方法。
背景技术
现在,计算机病毒功能越来越强大,尤其是通过网络传播的计算机病毒更是如此。 许多恶意用户将诸如木马、计算机病毒等的恶意程序和相关技术作为从事网络犯罪活动的 主要工具和手段。其影响小则导致浏览器配置被修改、系统使用受限、网络无法使用等,大 则导致数据受损或丢失、帐号密码被盗等。甚至在某些情况下这些计算机病毒能够控制他 人计算机并盗窃他人重要信息。由于诸如因特网的网络技术日益发展和普及,因此,很难防止恶意用户连接到网 络上。在这种情况下,连接到网络上的其他用户都可能受到恶意用户的攻击。尽管人们已经想出了许多方法来监控这种网络攻击,但是,还是存在许多问题。在现有技术中,很难判断与一个用户所连接的对方用户的身份。另外,即使在通信的开始阶段对用户的身份进行了认证,也很难保证在通信的过 程中不会有其他恶意用户假冒该用户。例如,在银行服务器与用户终端通信的情况下,在现有技术中,仅对用户名和密码 进行验证,只有在进行关键操作的情况下,才要求用户进行数字签名。用户的用户名和密码 很容易被他人截获并冒用。因此,恶意用户很容易就能够连接到银行的服务器上。从这个 方面来说,银行服务器是直接暴露在网络上的并且很容易受到攻击。即使银行服务器在开始时对用户进行了验证,由于在现有技术中没有提供技术手 段来保护用户和服务器之间的通信链路,因此,恶意用户还是可以在通信过程中截获通信 数据,以及攻击银行服务器,例如,重放攻击等。另外,即使用户是受信任的用户,也很难保证用户所发送的数据都是安全的数据。例如,计算机病毒越来越普遍并且越来越隐蔽。合法的用户有时也很难保证在他 的计算机上运行的程序都是安全的程序。这样,当合法的用户连接到银行的服务器上时,在 该用户不知情的情况下,计算机病毒也可能自动地将病毒程序发送到银行服务器,从而对 银行服务器造成损害。因此,需要提出一种新的安全监控技术来解决上述现有技术中的任何问题。需要 一种新的安全监控技术来对网络通信以及传输的数据进行监控。

发明内容
本发明的一个目的在于至少部分地解决上面所述的现有技术中的问题里的至少 一个技术问题。本发明的另一个目的在于对可执行文件进行监控。本发明的另一个目的在于对安全链路进行监控。
根据本发明的第一方面,提供了一种支持安全监控的安全监控装置,包括获取 单元,被配置成截获文件;计算单元,被配置成计算文件的特征值;查找单元,被配置成根 据文件名查找白名单;监测单元,被配置成根据白名单和所计算的文件的特征值进行监测; 标记单元,被配置成在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文 件,否则将该文件标记为验证成功并允许运行该文件。优选地,所述文件是可执行文件。优选地,所述文件的特征值是文件的HASH值。优选地,所述安全监控装置还包括白名单建立单元,被配置成根据用户的指示建 立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可 信任文件的特征值,其中,所述查找单元还被配置成根据文件名检取可信任文件的特征值,以及其中,所述监测单元还被配置成所检取的可信任文件的特征值和所计算的文件的 特征值进行监测。优选地,所述安全监控装置还包括安全链路管理单元,被配置成对发送文件的源 装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。优选地,所述安全链路管理单元还被配置成利用源装置的公钥对安全链路的密钥 进行加密,以及将所述密钥发送给源装置。优选地,所述安全链路管理单元还被配置成从源装置接收文件并对文件进行解 密,其中,所述文件是经源装置数字签名的,以及其中所述获取单元被配置成截获经解密的 文件。优选地,所述计算单元是通过硬件装置来实现的。根据本发明的第二方面,提供了一种支持安全监控的安全监控方法,包括获取步 骤,用于截获文件;计算步骤,用于计算文件的特征值;查找步骤,用于根据文件名查找白 名单;监测步骤,用于根据白名单和所计算的文件的特征值进行监测;标记步骤,用于在监 测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验 证成功并允许运行该文件。优选地,所述文件是可执行文件。优选地,所述文件的特征值是文件的HASH值。优选地,所述安全监控方法还包括白名单建立步骤,用于根据用户的指示建立可 信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任 文件的特征值,其中,所述查找步骤还包括根据文件名检取可信任文件的特征值,以及其中,所述监测步骤还包括根据所检取的可信任文件的特征值和所计算的文件 的特征值进行监测。优选地,所述安全监控方法还包括安全链路管理步骤,用于对发送文件的源装置 进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。优选地,所述安全链路管理步骤还包括利用源装置的公钥对安全链路的密钥进 行加密,以及将所述密钥发送给源装置。优选地,所述安全链路管理步骤还包括从源装置接收文件并对该文件进行解密,其中,所述文件是经源装置数字签名的,以及其中所述获取步骤包括截获经解密的文件。优选地,在所述计算步骤中,通过硬件装置来计算文件的特征值。本发明的一个优点在于,提供了安全监控装置或方法。本发明的另一个优点在于,可以利用文件的特征值来监控系统中的文件(可执行 程序),从而能够保证系统本地的和/或外部输入的文件(可执行程序)的可控性。本发明的另一个优点在于,可以保证文件(可执行程序)对系统资源的访问得到 有效的监控。本发明的另一个优点在于,能够维护安全系统的正常运行。本发明的另一个优点在于,根据本发明的第二实施例,对源装置进行认证,从而可 以保证文件(可执行程序)的来源的安全性。本发明的另一个优点在于,对被监控设备和源装置之间的安全链路进行监控,从 而保证通信的安全性。本发明的另一个优点在于,利用公钥和私钥来传递用于安全链路的密钥,从而保 证通信的安全性。本发明的另一个优点在于,利用密钥来建立安全链路,从而通信的安全性。本发明的另一个优点在于,所接收的文件(可执行程序)是经过源装置数字签名 的,从而确保该文件是从源装置产生的。本发明的另一个优点在于,通过硬件装置来计算特征值,因此可以提高安全性。通过以下参照附图对本发明的示例性实施例的详细描述,本发明的其它特征及其 优点将会变得清楚。


构成说明书的一部分的附图描述了本发明的实施例,并且连同说明书一起用于解 释本发明的原理。参照附图,根据下面的详细描述,可以更加清楚地理解本发明,其中图1是示出了根据本发明的第一实施例的安全监控装置的框图。图2是示出了根据本发明的第一实施例的安全监控方法的流程图。图3是示出了根据本发明的第二实施例的安全监控装置的框图。图4是示出了根据本发明的第二实施例的安全监控方法的流程图。图5是示出了根据本发明的一个例子的示图。
具体实施例方式现在将参照附图来详细描述本发明的各种示例性实施例。应注意到除非另外具 体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本 发明的范围。以下对至少一个示例性实施例的描述实际上仅仅是说明性的,决不作为对本发明 及其应用或使用的任何限制。对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适 当情况下,所述技术、方法和设备应当被视为说明书的一部分。
在这里示出和讨论的所有示例中,任何具体值应被解释为仅仅是示例性的,而不 是作为限制。因此,示例性实施例的其它示例可以具有不同的值。应注意到相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一 个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。另外,需要说明的是,在附图中,两个模块之间仅通过一条线连接,但是,本领域技 术人员应当知道,根据两个模块之间的数据通路的宽度,可能存在多条硬件布线,而附图中 的这种连线仅仅是示意性的,而不作为对本发明的任何限制。<第一实施例>下面参照图1和2来描述根据本发明的第一实施例。图1是示出了根据本发明的第一实施例的安全监控装置的框图。如图1所示,安全监控装置1000包括获取单元1100、计算单元1200、查找单元 1300、检测单元1400和标记单元1500。获取单元1100截获文件。例如,所述文件是可执行文件。该文件可以被存储在计算机的存储器中。例如,该文件可以被存储在计算机的硬 盘、软盘、光盘、缓存、RAM等中。或者,该文件可以是从外部输入的。例如,该文件可以通过各种外部接口被输入到 安全监控装置。所述接口例如包括网络接口(例如以太网接口)、串行接口、并行接口等。获取单元1100将所截获的文件发送给计算单元1200。获取单元1100将所截获的 文件名发送给查找单元1300。计算单元1200计算文件的特征值。文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法 由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH 值。HASH 算法例如包括 MD2、MD4、MD5、HAVAL, SHA 等。可以通过硬件装置来实现计算单元1200。由于相对于软件来说,硬件具有更高的 安全性。因此,通过这种方式可以提高系统安全性。查找单元1300根据文件名查找白名单。安全监控装置1000还可以包括白名单建立单元1600。白名单建立单元1600根据用户的指示建立可信任文件的白名单以及存储白名 单。例如,白名单可以至少包括可信任文件的文件名和可信任文件的特征值例如,当计算机从外部接收到文件并且用户判断该文件是可信任文件时,白名单 建立单元1600计算该文件的特征值。该特征值例如是HASH值。白名单建立单元1600将所计算的特征值连同文件的文件名一同存储在用于存储 白名单的表中。该表例如可以位于计算机或者安全监控装置的存储器中。在这种情况下,所述查找单元1300可以根据文件名来检取可信任文件的特征值, 以及输出所检取的特征值。监测单元1400根据白名单和所计算的文件的特征值进行监测。例如,所述监测单元1400从计算单元接收所计算的特征值以及从查找单元接收 所检取的特征值。
所述监测单元1400根据所检取的可信任文件的特征值和所计算的文件的特征值 进行监测。例如,所述监测单元1400将所检取的可信任文件的特征值与所计算的文件的特 征值进行比较。如果所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以 认为所截获的文件是可信任的,并且所述监测单元1400输出肯定的监测结果;否则,所述 监测单元1400输出否定的监测结果。标记单元1500在监测结果为否定的情况下将所截获的文件上报为可疑进程并拒 绝运行该文件,否则将所截获的文件标记为验证成功并允许运行该文件。图2示出了根据本发明的第一实施例的安全监控方法2000的流程图。如图2所示,在步骤S2100,执行获取步骤,用于截获文件。如前面所述,所述文件例如可以是可执行文件。在步骤S2200,执行计算步骤,用于计算文件的特征值。文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法 由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH值。在计算步骤中,还可以通过硬件装置来计算文件的特征值。这样,可以进一步提高 安全性。在步骤S2300,执行查找步骤,用于根据文件名查找白名单。另外,根据本发明的第一实施例的安全监控方法2000还可以包括白名单建立步 骤,用于根据用户的指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包 括可信任文件的文件名和可信任文件的特征值。在查找步骤中,可以根据文件名从白名单中检取可信任文件的特征值。在步骤S2400,执行监测步骤,用于根据白名单和所计算的文件的特征值进行监 测。在监测步骤中,可以根据所检取的可信任文件的特征值和所计算的文件的特征值 进行监测。例如,将所检取的可信任文件的特征值与所计算的文件的特征值进行比较。如果 所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以认为所截获的文件是 可信任的,并且输出肯定的监测结果;否则,输出否定的监测结果。在步骤S2500,执行标记步骤,用于在监测结果为否的情况下将该文件上报为可疑 进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。在根据本发明的第一实施例中,可以利用文件的特征值来监控系统中的文件(可 执行程序),从而能够保证系统本地的和/或外部输入的文件(可执行程序)的可控性。根据本发明的第一实施例,可以保证文件(可执行程序)对系统资源的访问得到 有效的监控。根据本发明的第一实施例,能够维护安全系统的正常运行。<第二实施例>下面参照图3和4来描述根据本发明的第二实施例。在根据本发明的第二实施例 中,增加了对通信链路的监控和管理,而其他部分与第一实施例的相应部分相同。在这里省略部分相同的描述。图3示出了根据本发明的第二实施例的安全监控装置的框图。如图3所示,安全监控装置1000包括获取单元1100、计算单元1200、查找单元 1300、检测单元1400、标记单元1500以及安全链路管理单元3700。安全链路管理单元3700对发送文件的源装置(未示出)进行认证。源装置例如 通过网络连接到安全监控装置所监控的设备。例如,为源装置可以将其数字签名发送给安全链路管理单元3700以进行认证等。 本领域技术人员可以想到许多方式来对源装置进行认证,因此,在这里不再对其进行详细 的描述。安全链路管理单元3700管理在接收文件的通信装置和源装置之间建立的安全链 路。例如,安全链路管理单元3700可以管理源装置与所监控的设备之间进行通信的 密钥。例如,安全链路管理单元3700利用源装置的公钥对安全链路的密钥进行加密,以 及将所述密钥发送给源装置。然后,源装置接收到所述加密的密钥之后,利用自己的私钥对 其进行解码以得到所述密钥。之后,可以利用所述密钥在被监控的设备和源装置之间进行
通{曰。安全链路管理单元3700从源装置接收文件。所述文件是经源装置数字签名的。获取单元1100截获文件。例如,所述文件是可执行文件。该文件可以被存储在计算机的存储器中。例如,该文件可以被存储在计算机的硬 盘、软盘、光盘、缓存、RAM等中。或者,该文件可以是从外部输入的。例如,该文件可以通过各种外部接口被输入到 安全监控装置。所述接口例如包括网络接口(例如以太网接口)、串行接口、并行接口等。获取单元1100将所截获的文件发送给计算单元1200。获取单元1100将所截获的 文件名发送给查找单元1300。计算单元1200计算文件的特征值。文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法 由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH 值。HASH 算法例如包括 MD2、MD4、MD5、HAVAL, SHA 等。查找单元1300根据文件名查找白名单。安全监控装置1000还可以包括白名单建立单元1600。白名单建立单元1600根据用户的指示建立可信任文件的白名单以及存储白名 单。例如,白名单可以至少包括可信任文件的文件名和可信任文件的特征值例如,当计算机从外部接收到文件并且用户判断该文件是可信任文件时,白名单 建立单元1600计算该文件的特征值。该特征值例如是HASH值。白名单建立单元1600将所计算的特征值连同文件的文件名一同存储在用于存储 白名单的表中。该表例如可以位于计算机或者安全监控装置的存储器中。在这种情况下,所述查找单元1300可以根据文件名来检取可信任文件的特征值,以及输出所检取的特征值。监测单元1400根据白名单和所计算的文件的特征值进行监测。例如,所述监测单元1400从计算单元接收所计算的特征值以及从查找单元接收 所检取的特征值。所述监测单元1400根据所检取的可信任文件的特征值和所计算的文件的特征值 进行监测。例如,所述监测单元1400将所检取的可信任文件的特征值与所计算的文件的特 征值进行比较。如果所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以 认为所截获的文件是可信任的,并且所述监测单元1400输出肯定的监测结果;否则,所述 监测单元1400输出否定的监测结果。标记单元1500在监测结果为否定的情况下将所截获的文件上报为可疑进程并拒 绝运行该文件,否则将所截获的文件标记为验证成功并允许运行该文件。图4示出了根据本发明的第一实施例的安全监控方法4000的流程图。如图2所示,在步骤S4100,执行安全链路管理步骤,用于对发送文件的源装置进 行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。在安全链路管理步骤中,还可以利用源装置的公钥对安全链路的密钥进行加密, 以及将所述密钥发送给源装置。这样,受监控的设备和源装置可以利用该密钥在它们之间 进行通信。在安全链路管理步骤中,还可以从源装置接收文件并对该文件进行解密。所述文 件是经源装置数字签名的。在步骤S4200,执行白名单建立步骤,用于根据用户的指示建立可信任文件的白名 单,以及存储白名单,其中,白名单至少包括可信任文件的文件名和可信任文件的特征值。在步骤S4300,执行获取步骤,用于截获文件。如前面所述,所述文件例如可以是可执行文件。在步骤S4400,执行计算步骤,用于计算文件的特征值。文件的特征值是可以由文件(数据)计算得到的唯一标识该文件的值,其中,无法 由该值逆向得到所述文件(数据)。例如,所述特征值可以是根据HASH算法得到的HASH值。在步骤S4500,执行查找步骤,用于根据文件名查找白名单。在查找步骤中,可以根据文件名从白名单中检取可信任文件的特征值。在步骤S4600,执行监测步骤,用于根据白名单和所计算的文件的特征值进行监 测。在监测步骤中,可以根据所检取的可信任文件的特征值和所计算的文件的特征值 进行监测。例如,将所检取的可信任文件的特征值与所计算的文件的特征值进行比较。如果 所检取的可信任文件的特征值与所计算的文件的特征值相同,则可以认为所截获的文件是 可信任的,并且输出肯定的监测结果;否则,输出否定的监测结果。在步骤S4700,执行标记步骤,用于在监测结果为否的情况下将该文件上报为可疑 进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
根据本发明的第二实施例,对源装置进行认证,从而可以保证文件(可执行程序) 的来源的安全性。根据本发明的第二实施例,对被监控设备和源装置之间的安全链路进行监控,从 而保证通信的安全性。根据本发明的第二实施例,利用公钥和私钥来传递用于安全链路的密钥,从而保 证通信的安全性。根据本发明的第二实施例,利用密钥来建立安全链路,从而通信的安全性。根据本发明的第二实施例,所接收的文件(可执行程序)是经过源装置数字签名 的,从而确保该文件是从源装置产生的。〈例子〉图5示出了根据本发明的一个例子。如图5所示,用户终端5301、5301经由网络5100连接到通信装置5210。通信装置5210耦合到服务器5200和根据本发明的安全监控装置5220。本领域技术人员应当理解,尽管在图5中,为了描述的方便,而将服务器5200、通 信装置5210和安全监控装置5220示出为分离的,但是,实际上,它们可以位于同一个位置, 或者位于同一个机架上,或者甚至位于同一块板卡上。服务器5200例如可以是银行系统的服务器。用户通过用户终端5301、5302来访 问银行系统,办理业务等。安全监控装置5220可以首先建立白名单。例如,安全监控装置5220可以对服务 器上记录的程序以及通过网络接收的程序文件进行认证,如果通过认证,并且例如服务器 的管理员授权该程序文件在服务器上运行,则安全监控装置5220计算该该程序文件的特 征值,例如HASH值,并存储所述特征值以及文件名。下面以用户终端5301为例来说明根据本发明的例子。例如,用户终端5301请求与通信装置5210建立连接。用户终端5301将设备的认 证信息发送给通信装置5210。通信装置5210将所述认证信息发送给安全监控装置5220。安全监控装置5220对 用户终端5301进行认证。如果通过认证则允许用户终端5301访问服务器;否则不允许用 户终端5301访问服务器。如果允许用户终端5301访问服务器,安全监控装置5220为用户终端5301分配用 于建立安全链路的密钥。安全监控装置5220利用用户终端5301的公钥对所述密钥进行加 密,并将该加密的密钥发送给通信装置5210。通信装置5210该加密的密钥发送给用户终端 5301。用户终端5301利用自己的私钥对该加密的密钥进行解密。安全监控装置5220将所 述密钥发送给通信装置5210。在通信装置5210和用户终端5301之间利用所述密钥建立安 全链路,以进行通信。用户可以利用用户终端5301经由所建立的安全链路来访问服务器。例如,用户可以将自己的文件(可执行程序)发送给通信装置5210。通信装置 5210接收数据,并将所述数据发送安全监控装置5220。安全监控装置5220利用已经产生 的白名单对所述文件进行监测,以判断该文件是否合法。在监测结果为否的情况下将该文 件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
安全监控装置5220也可以监控服务器本地的文件进行监控。当收到对服务器本 地的文件的执行请求时,安全监控装置5220截获所述文件,并利用已经产生的白名单对所 述文件进行监测。在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件, 否则将该文件标记为验证成功并允许运行该文件。可能以许多方式来实现本发明的方法和装置。例如,可通过软件、硬件、固件或者 软件、硬件、固件的任何组合来实现本发明的方法和装置。用于所述方法的步骤的上述顺序 仅是为了进行说明,本发明的方法的步骤不限于以上具体描述的顺序,除非以其它方式特 别说明。此外,在一些实施例中,还可将本发明实施为记录在记录介质中的程序,这些程序 包括用于实现根据本发明的方法的机器可读指令。因而,本发明还覆盖存储用于执行根据 本发明的方法的程序的记录介质。虽然已经通过示例对本发明的一些特定实施例进行了详细说明,但是本领域的技 术人员应该理解,以上示例仅是为了进行说明,而不是为了限制本发明的范围。本领域的技 术人员应该理解,可在不脱离本发明的范围和精神的情况下,对以上实施例进行修改。本发 明的范围由所附权利要求来限定。
权利要求
1. 一种支持安全监控的安全监控装置,包括 获取单元,被配置成截获文件;计算单元,被配置成计算文件的特征值; 查找单元,被配置成根据文件名查找白名单; 监测单元,被配置成根据白名单和所计算的文件的特征值进行监测; 标记单元,被配置成在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该 文件,否则将该文件标记为验证成功并允许运行该文件。
2.如权利要求1所述的安全监控装置,其中,所述文件是可执行文件。
3.如权利要求1所述的安全监控装置,其中,所述文件的特征值是文件的HASH值。
4.如权利要求1所述的安全监控装置,还包括白名单建立单元,被配置成根据用户的 指示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件 名和可信任文件的特征值,其中,所述查找单元还被配置成根据文件名检取可信任文件的特征值,以及 其中,所述监测单元还被配置成所检取的可信任文件的特征值和所计算的文件的特征 值进行监测。
5.如权利要求1所述的安全监控装置,还包括安全链路管理单元,被配置成对发送文 件的源装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。
6.如权利要求5所述的安全监控装置,其中,所述安全链路管理单元还被配置成利用 源装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。
7.如权利要求5所述的安全监控装置,其中,所述安全链路管理单元还被配置成从源 装置接收文件并对文件进行解密,其中,所述文件是经源装置数字签名的,以及 其中,所述获取单元被配置成截获经解密的文件。
8.如权利要求1所述的安全监控装置,其中,所述计算单元是通过硬件装置来实现的。
9. 一种支持安全监控的安全监控方法,包括 获取步骤,用于截获文件;计算步骤,用于计算文件的特征值; 查找步骤,用于根据文件名查找白名单; 监测步骤,用于根据白名单和所计算的文件的特征值进行监测; 标记步骤,用于在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文 件,否则将该文件标记为验证成功并允许运行该文件。
10.如权利要求9所述的安全监控方法,其中,所述文件是可执行文件。
11.如权利要求9所述的安全监控方法,其中,所述文件的特征值是文件的HASH值。
12.如权利要求9所述的安全监控方法,还包括白名单建立步骤,用于根据用户的指 示建立可信任文件的白名单,以及存储白名单,其中,白名单至少包括可信任文件的文件名 和可信任文件的特征值,其中,所述查找步骤还包括根据文件名检取可信任文件的特征值,以及 其中,所述监测步骤还包括根据所检取的可信任文件的特征值和所计算的文件的特 征值进行监测。
13.如权利要求9所述的安全监控方法,还包括安全链路管理步骤,用于对发送文件 的源装置进行认证,以及管理在接收文件的通信装置和源装置之间建立的安全链路。
14.如权利要求13所述的安全监控方法,其中,所述安全链路管理步骤还包括利用源 装置的公钥对安全链路的密钥进行加密,以及将所述密钥发送给源装置。
15.如权利要求13所述的安全监控方法,其中,所述安全链路管理步骤还包括从源装 置接收文件并对该文件进行解密,其中,所述文件是经源装置数字签名的,以及 其中,所述获取步骤包括截获经解密的文件。
16.如权利要求9所述的安全监控方法,其中,在所述计算步骤中,通过硬件装置来计 算文件的特征值。
全文摘要
本发明公开了一种支持安全监控的安全监控装置及方法。该支持安全监控的安全监控装置,包括获取单元,被配置成截获文件;计算单元,被配置成计算文件的特征值;查找单元,被配置成根据文件名查找白名单;监测单元,被配置成根据白名单和所计算的文件的特征值进行监测;标记单元,被配置成在监测结果为否的情况下将该文件上报为可疑进程并拒绝运行该文件,否则将该文件标记为验证成功并允许运行该文件。
文档编号H04L12/24GK101997832SQ20091016136
公开日2011年3月30日 申请日期2009年8月10日 优先权日2009年8月10日
发明者刘大力, 曹春春 申请人:北京多思科技发展有限公司
完整全部详细技术资料下载
  • 该技术已申请专利。仅供学习研究,如用于商业用途,请联系技术所有人。
  • 技术研发人员:刘大力;曹春春
  • 技术所有人:北京多思科技发展有限公司
  • 我是此专利的发明人
相关技术
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1
精彩留言,会给你点赞!
加药装置检验方法相关技术
安全监控相关技术
监控老化房相关技术
铁路桥接触网支持装置相关技术
接触网支持装置相关技术
支持装置相关技术
远程支持管理空分装置相关技术

使用协议| 关于我们| 联系X技术

© 2008-2024 【X技术】 版权所有,并保留所有权利。津ICP备16005673号-2